漏洞说明
2022年05月23日,360CERT监测发现阿里巴巴发布了Fastjson的风险通告,漏洞编号暂无,漏洞等级:高危,漏洞评分:8.5。在Fastjson1.2.80及以下版本中存在反序列化漏洞,攻击者可以在特定条件下绕过默认autoType关闭限制,从而反序列化有安全风险的类。该漏洞允许远程攻击者在目标机器上执行任意代码。
Fastjson反序列化远程代码执行漏洞对smartbi的影响性说明
涉及版本:
1、SmartbiV856并且使用了数据挖掘模块的;
2、SmartbiV856的版本是2020年04月26日前的
3、SmartbiV95的挖掘引擎包版本是2021年03月03号前的。
其他版本都无影响。
漏洞处理方案
1、如果当前Smartbi版本是V856并且使用了挖掘引擎模块,需要升级Smartbi产品和挖掘引擎模块(PS:War包和引擎版本需要一起升级到V95及以上版本,保持版本一致)。
2、如果当前SmartbiV856的版本是2020年04月26日前的,请更新新版的SmartbiV856,或者删除war包WEB-INF\lib目录下的odps-jdbc-2.2-jar-with-dependencies.jar规避;
3、如果当前SmartbiV95的挖掘引擎包版本是2021年03月03号前的,请更新SmartbiV95和挖掘引擎包。
